Model zabezpečení (ukládání do mezipaměti technologie Windows Server AppFabric)
Funkce ukládání do mezipaměti technologie Windows Server AppFabric poskytují několik možností pro správu zabezpečení. Ve výchozím nastavení se při komunikaci mezi klienty mezipaměti a clusterem mezipamětí používá šifrování i podepisování. Navíc je třeba explicitně přidat účet systému Windows do seznamu povolených účtů, aby příslušný uživatel získal přístup ke clusteru mezipamětí.
Nastavení zabezpečení clusteru mezipamětí
V clusteru mezipamětí lze nastavit dva režimy ochrany: None a Transport. Je-li nastaven režim None, data zasílaná mezi clusterem mezipamětí a klienty mezipaměti nejsou šifrována ani podepisována. Tím jsou vystavena případným nebezpečným síťovým útokům, které protokolují nebo mění data. Navíc může s clusterem mezipamětí komunikovat jakýkoli klient mezipaměti, a to i v případě, že nemá explicitně přidělené oprávnění k přístupu. Pokud je nastaven výchozí režim ochrany Transport, mají ke clusteru mezipamětí přístup pouze oprávněné účty systému Windows.
Pro data zasílaná mezi clusterem mezipamětí a klienty mezipaměti existují tři úrovně ochrany: None, Sign a EncryptAndSign. Nastavení None neposkytuje žádné další zabezpečení. Nastavení Sign chrání data na síti před manipulací. Nastavení EncryptAndSign data zašifruje a poté je podepíše. Nastavení Sign a EncryptAndSign lze specifikovat pouze v případě, že je režim zabezpečení nastaven na Transport.
Chcete-li u clusteru mezipamětí změnit režim zabezpečení nebo úroveň ochrany, použijte příkaz Set-CacheClusterSecurity prostředí Windows PowerShell.
Poznámka
Pokud je zabezpečení povoleno, musí být Služba ukládání do mezipaměti spuštěna pod příslušnou identitou. V prostředí domény by to měl být předdefinovaný účet „NT Authority\Network Service“. V prostředí pracovní skupiny by se mělo jednat o účet místního počítače. V prostředí domény však existuje pro nastavení účtu služby jedna výjimka. Pokud je režim zabezpečení nastaven na None, a tím je zabezpečení zakázáno, lze Službu ukládání do mezipaměti spustit jako jiný konkrétní účet domény než Network Service.
Nastavení zabezpečení klienta mezipaměti
Podobně jako u nastavení zabezpečení clusteru mezipamětí může klient mezipaměti konfigurovat nastavení zabezpečení pomocí elementu securityProperties v konfiguračním souboru aplikace. Anebo může klient programově konfigurovat zabezpečení pomocí třídy DataCacheSecurity spolu s vlastností SecurityProperties třídy DataCacheFactoryConfiguration. Další informace naleznete v tématu Nastavení konfigurace aplikace (ukládání do mezipaměti technologie Windows Server AppFabric).
Důležité je, aby klient mezipaměti i cluster mezipamětí používal nastavení zabezpečení umožňující připojení. V tabulce níže představují sloupce nastavení zabezpečení serveru a řádky nastavení zabezpečení klienta. U každé kombinace je uvedeno „Úspěšné“ nebo „Neúspěšné“ podle toho, je-li připojení povoleno.
| Nastavení klienta | Mode=None, ProtectionLevel=Any | Mode=Transport, ProtectionLevel=None | Mode=Transport, ProtectionLevel=Sign | Mode=Transport, ProtectionLevel=EncryptAndSign |
|---|---|---|---|---|
None, Any |
Úspěšné |
Neúspěšné |
Neúspěšné |
Neúspěšné |
Transport, None |
Neúspěšné |
Úspěšné |
Neúspěšné |
Neúspěšné |
Transport, Sign |
Neúspěšné |
Úspěšné |
Úspěšné |
Neúspěšné |
Transport, EncryptAndSign |
Neúspěšné |
Úspěšné |
Úspěšné |
Úspěšné |
Povolené účty klienta
Pokud je režim zabezpečení nastaven na Transport, bude nutné explicitně povolit všechny klienty mezipaměti, kteří se pokusí o spojení s clusterem mezipamětí. Provádí se to pomocí příkazu Grant-CacheAllowedClientAccount v prostředí Windows PowerShell. Další informace naleznete v tématu Správa funkcí technologie Windows Server AppFabric pro ukládání do mezipaměti pomocí prostředí Windows PowerShell.
Průvodce konfigurací zabezpečení
Technologie AppFabric podporuje použití Průvodce konfigurací zabezpečení v systému Windows Server 2008. Můžete zaregistrovat poskytnutý soubor šablony Průvodce konfigurací zabezpečení, který specifikuje minimální nastavení požadované pro spuštění technologie AppFabric. Přestože se soubor šablony WindowsServerAppFabric.xml instaluje s technologií AppFabric, je třeba jej před použitím ručně zaregistrovat v Průvodci konfigurací zabezpečení. Postup je popsán v následujících krocích.
Vyhledejte soubor WindowsServerAppFabric.xml v adresáři .\Windows\System32\AppFabric.
Otevřete soubor WindowsServerAppFabric.xml. Zkontrolujte, zda informace o verzi operačního systému v elementu
SCWKBRegistrationInfoodpovídají aktuálnímu počítači. Není-li tomu tak, změňte atributy podle následující tabulky a změny uložte.Operační systém OSMajorVersion OSMinorVersion ServicePackMajorVersion ServicePackMinorVersion Windows Server 2008
6
0
0
0
Windows Server 2008 SP1
6
0
1
0
Windows Server 2008 SP2
6
0
2
0
Windows Server 2008 R2
6
1
0
0
Otevřete příkazový řádek pro správu.
Spusťte následující příkaz:
scwcmd register /kbname:appfabric /kbfile:%windir%\System32\AppFabric\WindowsServerAppFabric.xml
Pokud používáte nástroj pro správu Průvodce konfigurací zabezpečení, měli byste nyní vidět nainstalovanou roli s názvem „Služba ukládání do mezipaměti technologie Windows Server AppFabric“.
Další odkazy
Koncepty
Správa funkcí technologie Windows Server AppFabric pro ukládání do mezipaměti pomocí prostředí Windows PowerShell
Koncepce ukládání do mezipaměti technologie Windows Server AppFabric
2011-12-05